《《防火墙配置规范》PPT课件》由会员分享,可在线阅读,更多相关《《防火墙配置规范》PPT课件(13页珍藏版)》请在金锄头文库上搜索。
1、2012年年4月月19日日防火墙配置规范防火墙配置规范防火墙配置规范防火墙配置规范1. 防火墙端口使用防火墙端口使用2. 防火墙路由配置防火墙路由配置3. 防火墙策略配置防火墙策略配置4. 防火墙地址转换防火墙地址转换5. 防火墙本身安全防火墙本身安全6. 外联区网络部署规范外联区网络部署规范总体结构总体结构1. 主备防火墙连接端口主备防火墙连接端口 防火墙在主备模式时,互联端口使用最后一个可用端防火墙在主备模式时,互联端口使用最后一个可用端口;口;2. 不同安全域使用端口不同安全域使用端口 防火墙业务使用端口,按照安全域由高到底,防火防火墙业务使用端口,按照安全域由高到底,防火墙端口由前往后
2、顺序使用;墙端口由前往后顺序使用;3. 与其他网络设备连接方式与其他网络设备连接方式 防火墙与其他网络设备采用口字形连接。防火墙与其他网络设备采用口字形连接。防火墙端口使用防火墙端口使用防火墙路由配置防火墙路由配置1. 与相邻网络设备之间的路由与相邻网络设备之间的路由 防火墙与其他网络设备之间一般采用静态路由;防火墙与其他网络设备之间一般采用静态路由;2. 防火墙内部路由配置清晰防火墙内部路由配置清晰 配置防火墙的路由时,路由配置清晰明了,不能出配置防火墙的路由时,路由配置清晰明了,不能出现重复的路由。现重复的路由。防火墙策略配置防火墙策略配置1.基本安全策略基本安全策略 一切没有允许的服务都
3、是禁止的,策略只允许通过一切没有允许的服务都是禁止的,策略只允许通过 必要的数据,控制双向数据流,同时建议在防火墙最后增必要的数据,控制双向数据流,同时建议在防火墙最后增加一条拒绝所有数据经过的策略;加一条拒绝所有数据经过的策略;防火墙策略配置防火墙策略配置2. 规则尽量简单清晰规则尽量简单清晰 规则力求简单清晰,在满足业务需求的情况下,规规则力求简单清晰,在满足业务需求的情况下,规则尽量简单,避免出现策略互相重叠、包容甚至冲突的情则尽量简单,避免出现策略互相重叠、包容甚至冲突的情况,同时可以通过增加注释、使用策略组等方式增加清晰况,同时可以通过增加注释、使用策略组等方式增加清晰度;度;3.
4、策略次序安排策略次序安排 按照业务的重要性,策略由前往后。按照业务的重要性,策略由前往后。防火墙地址转换防火墙地址转换1.地址转换地址转换通过防火墙进行不同安全区域的隔离,数据在经过防火墙通过防火墙进行不同安全区域的隔离,数据在经过防火墙后必须进行地址转换。后必须进行地址转换。2.地址转换方式地址转换方式 防火墙映射地址建议采用防火墙映射地址建议采用DIP的转换方式而非的转换方式而非MIP的的转换方式。转换方式。防火墙地址转换防火墙地址转换2.地址转换方式地址转换方式防火墙地址转换采用一一对应的方式,区域一的同一防火墙地址转换采用一一对应的方式,区域一的同一IP地址映射地址映射到另一区域时的映
5、射地址保持不变,例如到另一区域时的映射地址保持不变,例如Trust域的地址域的地址A经过防火墙经过防火墙映射到映射到Untrust域为域为A1, Untrust 域的域的B经过防火墙映射到经过防火墙映射到Trust域为域为B1 A访问访问B时:时: 在防火墙在防火墙Trust域域A访问访问B1,经过防火墙映射后在,经过防火墙映射后在Untrust域变为域变为A1访问访问B;B同时需要访问同时需要访问A时:时: 在防火墙在防火墙Untrust域域B访问访问A1,经过防火墙映射后在,经过防火墙映射后在Untrust域为域为B1访问访问A,此时的,此时的A1和和B1需与需与A访问访问B时防火墙转换的
6、时防火墙转换的A1和和B1地址相同地址相同防火墙地址转换防火墙地址转换2.地址转换方式地址转换方式防火墙本身安全防火墙本身安全1. 拒绝非安全域访问拒绝非安全域访问 不允许非安全域主机访问防火墙不允许非安全域主机访问防火墙2. 设置授信地址设置授信地址 允许哪些位于安全域的主机来访问防火墙,对防火允许哪些位于安全域的主机来访问防火墙,对防火墙进行操作墙进行操作外联区网络部署规范外联区网络部署规范1. 外联第三方外联第三方2. 外联交换机及路由器配置思路外联交换机及路由器配置思路3. 外联防火墙配置外联防火墙配置4. DMZ交换机交换机5. 内联防火墙内联防火墙6. 生产生产/管理接入管理接入7. 测试接入测试接入 外联区网络部署规范外联区网络部署规范 谢谢!谢谢!
